Varias aplicaciones falsas de clonación de ChatGPT han aparecido en las tiendas iOS y Play Store oficiales, recopilando datos de los usuarios y enviándolos a servidores remotos.
En dispositivos Android, una de las aplicaciones analizadas por los investigadores tiene más de 100.000 descargas, rastrea y comparte datos de ubicación con ByteDance y Amazon, etc.
ChatGPT el software de IA ya ha arrasado en Internet y es por eso que los ciberdelincuentes buscan aprovechar la oportunidad con fines maliciosos. Pero la pregunta más importante es: ¿ChatGPT tiene aplicaciones oficiales para iOS o Play Store? Respuesta corta: No, pero le preguntamos a ChatGPT al respecto.
Para su información Chat Generative Pre-Trained Transformer, también conocido como ChatGPT es un chatbot lanzado en noviembre de 2022 por OpenAI. Es parte de la familia de modelos de lenguaje GPT-3 de OpenAI y es compatible con técnicas de refuerzo y aprendizaje supervisado.
Según Top10VPN los clones no oficiales y las aplicaciones falsas del chatbot ChatGPT están disponibles tanto en Apple App Store como en Google Play Store cuando buscan el término “ChatGPT”.
Los investigadores analizaron las diez aplicaciones mejor clasificadas, la mayoría de las cuales se basaban en la nueva tecnología ChatGPT-3. Utilizaron herramientas de código abierto como mitmproxy para examinar el tráfico de red en su entorno de prueba y detectar funcionalidades de riesgo en el código de las aplicaciones de Android.
Además también analizaron las políticas de privacidad y las páginas de almacenamiento de las aplicaciones clonadas para comprender las políticas de recopilación e intercambio de datos de cada aplicación.
Recopilación de datos de Android
En los dispositivos Android dos aplicaciones clonadas recopilan/comparten las direcciones IP de los usuarios con terceros, mientras que una aplicación, identificada como ChatGPT AI Writing Assistant con más de 100 000 descargas, rastrea/comparte datos de ubicación con ByteDance y Amazon, etc.
Tres de estas aplicaciones solicitan permisos que comprometen la privacidad de los usuarios, incluido el permiso de grabación de audio, aunque las funciones de voz en la aplicación no están disponibles.
Además, todas las aplicaciones clonadas presentan un código que afecta la privacidad y carecen de los permisos pertinentes, incluido el acceso a la ubicación, la cámara, las fotos, los videos y el almacenamiento de lectura/escritura.
Además, nueve aplicaciones explotan la tecnología GPT-3 de OpenAI, que actualmente es gratuita, y tres aplicaciones cobran por el acceso. Una de las aplicaciones ofrece un nivel sin publicidad. La lista de aplicaciones maliciosas de Android compartida por Top10VPN incluye lo siguiente:
- Compañero de chat de IA
- ChatGPT 3: Chat GPT IA
- Abrir AI Chat Gpt – AI 360
- TalkGPT – Habla con ChatGPT
- Chat abierto: aplicación AI Chatbot
- ChatGPT Asistente de escritura con IA
La lista completa con detalles detallados de cómo y qué datos recopilan estas aplicaciones está disponible aquí.
Recopilación de datos de iOS
En los dispositivos iOS, las diez aplicaciones de clonación mejor clasificadas recopilaron datos compartidos con protecciones de privacidad inadecuadas. Dos aplicaciones registraron contenido de preguntas y respuestas y cinco permitieron que rastreadores de terceros tomaran huellas dactilares de los dispositivos.
Según el informe de Top10VPN , una aplicación lanzó más de 300 solicitudes de servidor en cuatro minutos. Siete aplicaciones no siguieron las prácticas de recopilación de datos de acuerdo con sus etiquetas de privacidad oficiales. Nueve aplicaciones explotaron la tecnología GPT-3 de OpenAI y ocho aplicaciones cobraron hasta $ 15,000 por año por el acceso.
La lista de aplicaciones iOS maliciosas compartida por Top10VPN incluye lo siguiente:
- Chat abierto: chatbot con IA
- Alfred – Chatea con GPT 3
- Genie – Asistente de IA de GPT
- TalkGPT – Habla con ChatGPT
- Chat IA: asistente personal de IA
- Asistente de IA de GPT de Write For Me
- Wisdom Ai: tu asistente de IA
La lista completa con detalles detallados de cómo y qué datos recopilan estas aplicaciones está disponible aquí .
¿Cómo estas aplicaciones amenazan la privacidad del usuario?
Todas las diez aplicaciones principales de ChatGPT en Google Play Store recopilaron datos compartidos con protecciones de privacidad deficientes. Las aplicaciones compartieron numerosos puntos de datos sobre los dispositivos de los usuarios, como el tamaño de la pantalla o el operador de red.
Esto puede parecer inofensivo por sí solo, pero se puede usar para dispositivos de huellas dactilares. Aunque ninguna de estas aplicaciones tiene tendencias maliciosas, se descubrió que una aplicación compartía datos con ByteDance.
Del mismo modo, muchas aplicaciones cobran al usuario por acceder a una aplicación gratuita disponible, lo que plantea preocupaciones éticas. Con respecto a la privacidad de los datos del usuario, TalkGPT fue la más ofensiva de todas las aplicaciones, ya que rastrea los datos de ubicación precisos de los usuarios y los transfiere a ByteDance, Amazon, Appodeal, AdTech e InMobi.
También solicita permiso para grabar audio y recopila las direcciones IP de los usuarios y las huellas dactilares de los dispositivos, que comparte con cinco terceros, incluidos AdColony, Facebook, Criteo, Everest Technologies y Google.
Además, muchas aplicaciones clonadas extraen los datos personales de la base de usuarios de ChatGPT, que había superado el millón de usuarios en menos de una semana desde su lanzamiento.
Fuente: https://www.hackread.com/chatgpt-clone-apps-collect-ios-play-store/
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.